692404

Keylogger finden und beseitigen

06.03.2008 | 10:48 Uhr |

Der Begriff „Keylogger“ bezeichnet eine Hard- oder Software, die dazu verwendet wird, die Eingaben eines Benutzers zu protokollieren. Die Software- Version von Keyloggern wird gerne als Malware unbemerkt eingeschleust, um Passwörter und Online-Banking-Logins auszuspionieren. Dabei bedienen sich die Schadprogramme der Rootkit-Technologie, um möglichst lange unbemerkt auf dem infiltrierten System bestehen zu können. Wir zeigen Ihnen, wie Sie die Schädlinge finden und beseitigen können.

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Lösung:

Malware-Keylogger sind meist spezielle Rootkits, und die werden wiederum in verschiedene Kategorien unterteilt. Zum einem sind es residente Rootkits, die einen Neustart überleben sollen und sich deshalb zumindest in eine Autostart-Quelle eintragen müssen. Speicher-Rootkits dagegen sind nach dem nächsten Neustart weg.

Weiterhin gibt es Benutzer-Rootkits, die API-Aufrufe (Application Programming Interface) von Anwendungen abfangen und ändern, die im Benutzerkontext laufen. So kann beispielsweise eine bestimmte Datei im Explorer versteckt werden. Die ausgefeilteren Kernel-Rootkits fangen sogar Aufrufe der nativen Windows-API ab. Dabei handelt es sich um den Befehlssatz, der auf Kernel-Ebene verwendet wird, etwa auch von Treibern. Zusätzlich können diese Rootkits aber auch direkt die Daten-Struktur aus Sicht des Kernels ändern.


Um ein Rootkit aufzuspüren, brauchen Sie etwas Gespür und ein Tool wie beispielsweise Rootkit Revealer von Sysinternals. Rufen Sie es einfach von einem Account mit Admin-Rechten auf, und klicken Sie auf „Scan“.


Das Tool scannt Ihr System dabei auf zweierlei Weise. Einmal in herkömmlicher Weise über die Windows- API und ein weiteres Mal, indem es die rohen Daten direkt von Ihren physischen FAT- oder NTFS-Partitionen einliest. Falls zwischen den beiden Scans Unterschiede auftreten, werden sie im Tool aufgelistet. Nach einigen Minuten sind die Scans abgeschlossen, nun müssen Sie das angezeigte Ergebnis interpretieren.

Das Tool gibt neben dem gefundenen Pfad in der Spalte „Description“ für jeden Eintrag eine Beschreibung für den Grund an, aus dem er in die Liste aufgenommen wurde. Dabei wird nicht differenziert, ob es sich um einen legitimen Unterschied handelt oder ein Rootkit. Windows selbst versteckt beispielsweise die für das Dateisystem wichtige Master File Table ($MFT) vor seiner eigenen API. Überprüfen Sie deshalb jeden Eintrag darauf, ob eine gutartige Anwendung dahinter steckt oder ob Sie es möglicherweise mit einem Rootkit zu tun haben.

Dabei hilft Ihnen auch der Punkt „Interpreting the Output“ aus der englischsprachigen Hilfe von Rootkit Revealer – oder die Site www.rootkit.com . Wenn Sie zu dem Schluss gekommen sind, dass ein bestimmtes Rootkit sich bei Ihnen breit gemacht hat, hilft nur eine komplette Neuinstallation des Systems: Nur so können Sie sicher gehen, dass Sie nicht weiterhin ausspioniert werden.

0 Kommentare zu diesem Artikel
692404